Kaspersky ha descubierto una sofisticada evolución de las técnicas de phishing utilizadas por los ciberdelincuentes para eludir la autenticación de doble factor (2FA), una medida de seguridad crucial diseñada para proteger las cuentas online. A pesar de la adopción generalizada de 2FA por parte de muchas páginas web y su implementación obligatoria en las empresas, los atacantes han desarrollado métodos avanzados, combinando phishing con bots automatizados de OTP para engañar a los usuarios y obtener acceso no autorizado a sus cuentas.
La autenticación de doble factor (2FA) es una característica de seguridad que se ha convertido en una práctica estándar en la seguridad online. Requiere que los usuarios verifiquen su identidad utilizando una segunda forma de autenticación, generalmente una contraseña de un solo uso enviada por mensaje de texto, correo electrónico o una aplicación de autenticación. Esta capa adicional de seguridad tiene la intención de proteger las cuentas de los usuarios incluso si sus contraseñas se ven comprometidas. Sin embargo, los estafadores han desarrollado formas de engañar a los usuarios para que revelen estos OTP, lo que les permite eludir las protecciones de 2FA.
Un bot de OTP es una herramienta utilizada por los ciberdelincuentes para interceptar OTPs a través de técnicas de ingeniería social. Por lo general, los atacantes intentan obtener las credenciales de inicio de sesión de la víctima a través de phishing o filtraciones de datos y, a continuación, inician sesión en la cuenta de la víctima, lo que desencadena el envío de una OTP al teléfono de la víctima. Después, el bot de OTP llama a la víctima, haciéndose pasar por un representante de una organización de confianza, y utiliza un diálogo preescrito para persuadir a la víctima de que comparta el OTP. Finalmente, el atacante recibe el OTP a través del bot y lo usa para acceder a la cuenta de la víctima.
Los estafadores prefieren las llamadas telefónicas sobre los mensajes porque estas aumentan las posibilidades de que la víctima responda rápidamente. El bot puede imitar el tono y la urgencia de una llamada legítima, haciéndola más convincente.
En este sentido, los atacantes gestionan los bots de OTP a través de paneles online especiales o plataformas de mensajería como Telegram. Estos bots vienen con varias características y planes de suscripción. Además, se pueden personalizar para hacerse pasar por diferentes organizaciones, usar varios idiomas e incluso elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación del número de teléfono, lo que hace que hace que el identificador de llamadas parezca provenir de una organización legítima.
Antes de utilizar un bot de OTP, los estafadores necesitan robar las credenciales de la víctima. A menudo utilizan páginas web de phishing que se parecen a páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas online. Cuando la víctima introduce su nombre de usuario y contraseña, los estafadores capturan esta información en tiempo real.
La investigación de Kaspersky muestra el impacto significativo de estos ataques de phishing y bots de OTP. Desde el 1 de marzo hasta el 31 de mayo de 2024, los productos de la compañía evitaron 653.088 intentos de visitar sitios generados por kits de phishing dirigidos al sector bancario, cuyos datos a menudo se utilizan en ataques con bots de OTP. Durante el mismo período, la tecnología de Kaspersky detectó 4.721 páginas de phishing generadas por los kits que están dirigidos a eludir la autenticación de dos factores en tiempo real.
“El uso de la ingeniería social puede ser increíblemente complicado, especialmente con el uso de bots de OTP que pueden imitar llamadas reales de representantes de servicios legítimos. Para estar alerta, es crucial mantenerse vigilante y seguir las mejores prácticas de seguridad. A través de la investigación continua y la innovación, Kaspersky proporciona soluciones de seguridad de vanguardia para proteger las vidas digitales”,comenta Olga Svistunova, experta en seguridad de Kaspersky.
Aunque 2FA es una medida de seguridad importante, no es infalible. Para protegerse de estas estafas sofisticadas, Kaspersky recomienda:
- Evita abrir enlaces sospechosos que lleguen por correo electrónico. Si necesitas iniciar sesión, escribe la dirección manualmente o utiliza un marcador.
- Asegúrate de que la dirección de la página web sea correcta y no contenga errores tipográficos antes de introducir tus credenciales. Utiliza Whois para verificar la web: si se ha registrado recientemente, es probable que se trate de un sitio fraudulento.
- No pronuncies ni introduzcas el código de un solo uso por teléfono, por muy convincente que suene la persona que llama. Los bancos reales y otras compañías nunca utilizan este método para verificar la identidad de sus clientes.
- Para proteger la empresa contra una amplia gama de amenazas, utiliza soluciones de la línea de productos Kaspersky Next, que proporcionan protección en tiempo real, visibilidad de amenazas, capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria. Dependiendo de tus necesidades actuales y recursos disponibles, puedes elegir el nivel de producto más relevante y migrar fácilmente a otro si tus requisitos de ciberseguridad cambian.
- Invierte en cursos adicionales de ciberseguridad para mantener al personal actualizado con los últimos conocimientos. Con la formación práctica de Kaspersky Expert, los profesionales de InfoSec pueden mejorar sus habilidades prácticas y ser capaces de defender a sus empresas contra ataques sofisticados. Puedes elegir el formato más adecuado y seguir cursos online autoguiados o cursos en directo de la mano de un instructor.
Si quieres saber más sobre los bots de OTP accede a Securelist.
